Unitymedia Fritz!Box gehackt und für Telefongespräche missbraucht

[eazrael]

Warum muss so eine Kacke immer Sonntags passieren Und irgendwie peinlich ist es mir auch

Anscheinend hat sich jemand heute morgen gegen 5 aus Ägypten auf meiner Fritz!Box 6360 eingeloggt und umkonfiguriert und ein neues VoIP Telefoniegerät angelegt:

<i>
</i>28.06.15 21:03:36 Anmeldung des Benutzers xxx an der FRITZ!Box Benutzeroberfläche von IP-Adresse 105.202.101.12.
28.06.15 05:21:05 Die FRITZ!Box-Einstellungen wurden über die Benutzeroberfläche geändert.
28.06.15 05:19:46 Anmeldung des Benutzers xxx an der FRITZ!Box Benutzeroberfläche von IP-Adresse 105.202.36.200.

und dann wurde von Dubai aus (5.135.199.2) mehrmals in Litauen angerufen:

<i>
</i>28.06.15 21:59:52 Internettelefonie mit [email protected] über ssl43.telefon.unitymedia.de war nicht erfolgreich. Ursache: Address Incomplete (484)

Nach den Gesprächsdauern zu urteilen gab's auch einige erfolgreiche Gespräche.

Password und Accounts habe ich direkt geändert, das neue Telefoniegerät gelöscht und bin durch alle Dialoge durch und hab mir die Configs angeschaut.

Jetzt frag ich mich natürlich wie konnte das passieren? Mein verwendetes Password ist sehr sicher und wird nur intern auf 2 Geräten (das ich auch direkt überprüft habe) verwendet. Die meisten Fritz!Box Dienste sind ausgeschaltet, die Fritz!Box fungiert nur als reiner Internet Gateway (Business Tarif + feste IP, also nichtmals als Router) und halt als notwendige Telefonzentrale. Router steht dahinter. Hätte der Angreifer die tägliche Statusmail auch abgeschaltet, wäre mir das vermutlich gar nicht aufgefallen.

Ich hab mal gegoogelt und diese 1 Jahre alte "Kurz notiert Meldung von AVM gefunden: Sicherheitshinweis: mutmaßlicher Telefonmissbrauch. AVM schreibt da was von einer Liste mit geklauten Identitäten. Das halte ich bei mir nicht für zutreffend. Wie gesagt, die Accountdaten wurden nur intern verwendet. Und eine E-Mail war mit dem Account in der Fritz!Box gar nicht eingetragen.

Irgendwie weiß ich gerade so nicht weiter. Hat jemand Tipps oder Hinweise was ich noch machen kann und/oder überprüfen sollte? Sollte ich mich mal an AVM wenden, oder bringt das nix? Oder hab ich was falsch gemacht?

Bitte um Kommentare

Nachtrag: Seufz, wenn*'s nicht verspätet diese Sache ist http://www.heise.de/newsticker/meldung/Jetzt-Fritzbox-aktualisieren-Hack-gegen-AVM-Router-auch-ohne-Fernzugang-2115745.html

 

[tq1199]

... auf 2 Geräten (das ich auch direkt überprüft habe) verwendet.

Welches Betriebssystem hast Du auf diesen 2 Geräten?

 

[eazrael]

Öhm, das eine ist die Fritz!Box, das andere ist Linux.

Naja, für mich ist die Sache gegessen. Es waren "nur" 50€ Schaden.

Meiner Meinung nach war es der oben verlinkte "Fritz!Box Hack". Wenn Heise recht hatte und das absaugen des Passwort ohne Authentifizierung möglich war, dann geb ich Unitymedia mindestens 10% Mitschuld. Bis das FW-Update eingespielt war, hätte eine Passwortänderung nur dazu geführt, dass das neue Passwort geklaut wurde. Laut meinen Unterlagen hat Unitymedia bei mir (Business 64 Tarif) das Update im August eingespielt. Da hab ich dann natürlich nicht mehr dran gedacht das Passwort zu ändern. Wäre die FB unter meiner Kontrolle, hätte ich das Update direkt bei Verfügbarkeit eingespielt.

 

[Joerg]

Ich habe seit dem o.g. Hack den Zugang zur Adminoberfläche der FB von aussen deaktiviert. Das Risiko überwiegt hier m.E. sehr deutlich gegenüber dem Nutzen, insbesondere da Informationen über eingehende Anrufe und auch Anrufbeantworter-Aufnahmen sowie per Mail auf meinem Handy landen.

Jörg

 

[hajodele]

@ezrael:
Das Sicherheitsupdate, um das es ging war die 6.03, die Mitte Februar veröffentlicht wurde. Zugegebenermassen hat UM auch hier die rote Laterne getragen.
Die 6.04, die im August herauskam, hatte damit nichts zu tun.
Wenn du das Passwort nach dem Aufspielen der 6.03 geändert hast, ist zumindest dieser Weg sicher. Genau so wurde es von AVM, UM und vielen Fachzeitschriften propagiert.

P.S.
Ich bin für 3 Fritzboxen zuständig und habe seither die Passwörter im August (nach der 6.04) und einer Tarifänderung im Januar (bei der es auch einen Werksreset gab) geändert.
Ein externer Zugriff ist für mich dringend erforderlich. Bei meiner Mutter gibt es nicht mal einen angeschlossenen PC.

 

[Leseratte10]

Kann man die VoIP-Passwörter bei Unitymedia überhaupt ändern?

 

[hajodele]

Kann man die VoIP-Passwörter bei Unitymedia überhaupt ändern?

Meines Wissens nach nicht. Bei EX-Kabelbw kommt man nicht mal rann.
Der Weg lief damals auch so, dass die Fritzbox übernommen und dann von dort aus telefoniert wurde.
Ich habe mir übrigens damals gleich eine Ausgehende Telefonsperre bei Kabelbw einrichten lassen, die alle kostenpflichtigen Gespräche umfasste.
Ausland und Mobilfunk gehen bei mir einen anderen Weg. Im theoretischen Maximalfall bin ich 10 Euro los.

 

[eazrael]

Ich hab gerade mal nachgeschaut. Das Update auf die 85.06.03 muss mir entgangen sein, weil UM dieses nicht wie sonst üblich per EMail und Brief angekündigt hatte. Eingespielt wurde es am 27.02.2014. Also Ende Februar.

Ich brauch den Remotezugang leider, da ich häufig nicht zu hause bin.

 

[albatros]

Wenn Du die 85.06.03 auf der Box hast, solltest Du vor dem Hack aus 2013 eigentlich sicher sein.
Möglicherweise wurden die Zugansgdaten ausgelesen, weil sich jemand zwischen Dein externes Gerät und Deine FB gehängt hat.
Grundsätzlich sollte man auf der FB nur das für den Fernzugriff freigeben, was man auch benötigt.
Gerade wenn man aus fremden, offenen WLANs, zugreift, sollte man über ein VPN gehen. Wenn das nicht möglich ist, einen Benutzer verwenden, der nicht auf die Einstellungen zugreifen darf. Falls man gelegentlich doch Zugriff auf Einstellungen benötigt, dafür einen anderen Benutzer verwenden.
Passwörter der Benutzer häufig ändern.
Das Registrieren von SIP-Telefonen aus dem Internet sollte man nur zulassen, wenn man es auch wirklich benötigt.

 

[GoaSkin]

Wer eh nicht ins Ausland telefoniert: Man kann bei Unitymedia eine Sperre für Ausland und/oder 0900/013x einrichten lassen. Dann wären auch im Falle eines Hacks die Kosten begrenzt.

 

[simon.brenzinger]

Ich hatte die gleiche Situation. Aber auf einer FB nach(!) der UM-Box. Dort hat sich jemand von der gleichen vorgenannten IP-Adresse mit dem relativ komplexen Benutzernamen und dem exakten Kennwort eingeloggt.

Diese Benutzername / Passwortkombination war lediglich auf dem UM-Router vorhanden, bis durch das Update in 2014 der Fernzugang abgeschaltet wurde. Schaden 4.800€ - UM sagt: wir seien selbst für die Sicherheit unserer Geräte nach der UM-Box zuständig.

Gibt es bei meinem Vorredner Neueigkeiten zu dem Thema?

Viele Grüße
Simon

 

[hajodele]

UM sagt: wir seien selbst für die Sicherheit unserer Geräte nach der UM-Box zuständig.

Das sehe ich auch so: Zunächst sollte die Fremd-Fritzbox immer eine unabhängige Benutzer/Passwort-Kombi haben.
Nach dem Hack hättest du dich schnellst möglich um eine geeignete Firmware deiner Fritzbox kümmern müssen und anschließend das Passwort ändern müssen.
Das wurde seinerzeit überall ausdrücklich empfohlen.

 

[sebr]

Naja, soooo eindeutig ist die Schuldfrage auch nicht. Gleiche Logins für die UM-Box und die dahinterliegende zu benutzen würde ich jetzt nicht als grob fahrlässig ansehen.
Wenn Anfang 2014 der Login auf der Box von Unitymedia genutzt wurde, dann könnte man auch so argumentieren, dass z.B. das Ausspähen durch das verzögert durchgeführte Update seitens UM erst ermöglicht wurde. Denn zwischen dem Bekanntwerden der Sicherheitslücke und dem Aufspielen des Updates lagen mehrere Wochen.
Auch kann man nicht voraussetzen, dass sich jeder Nutzer täglich über Sicherheit seiner Netzwerkgeräte informiert. Zumal es sich noch im Mietgeräte des Providers handelt.
Bei der Summe würde ich einen Anwalt kontaktieren anstatt einfach zu zahlen.

 

[Leseratte10]

Ich finde die Schuldfrage schon eindeutig. Wieso sollte sich Unitymedia darum kümmern, dass die Fritzboxen, die du hinter einer Unitymedia-Fritzbox anschließt, sicher sind?

Die zu Updaten ist allein deine Verwantwortung, und wenn deine eigene Box (hinter der Unitymedia-Box) gehackt wird, ist das absolut nicht Schuld von Unitymedia.

 

[sebr]

Da hast du natürlich recht.

Aber ich verstehe die Sache etwas anders bzw. aus dem Post von Simon geht das nicht eineutig hervor. Für mich liest es sich so: zum Zeitpunkt des Hacks wurde der Login nur auf der UM-Box genutzt. Dann wurde der Fernzugang von UM deaktiviert bzw. später das Update nachgeschoben. Danach hat er eine eigene FritzBox hinter die UM-Box geschaltet und dort den gleichen Login eingetragen wie vorher auf der Box von UM die "gehackt" bzw. dort der Login abgegriffen wurde.

 

[Duck01]

Ich finde die Schuldfrage schon eindeutig. Wieso sollte sich Unitymedia darum kümmern, dass die Fritzboxen, die du hinter einer Unitymedia-Fritzbox anschließt, sicher sind?

Die zu Updaten ist allein deine Verwantwortung, und wenn deine eigene Box (hinter der Unitymedia-Box) gehackt wird, ist das absolut nicht Schuld von Unitymedia.

Aber ist es nicht so dass erst durch den Hack der ersten UM FB der Zugriff auf der zweiten möglich wurde ? Also so klar ist für mich die Schuldfrage nicht

Gruß Duck

 

[hajodele]

Aber ist es nicht so dass erst durch den Hack der ersten UM FB der Zugriff auf der zweiten möglich wurde ? Also so klar ist für mich die Schuldfrage nicht

Für mich stellt sich die Lage wie folgt dar:
1. Die Private Fritzbox erhielt (womöglich bis heute) keinen geeigneten Firmwareupdate
2.Der Privaten Fritzbox wurde nie ein neues Passwort zugeordnet.
3. Bis UM endlich die 6.03 ausrollte, war der Fernzugang gesperrt.
4.Nach dem Rollout der 6.03 wurden die Kunden aufgefordert, neue Passwörter zu generieren.

Dies hat der Geschädigte durchweg ignoriert.
Wenn er in dieser Situation irgendwas erreichen will, braucht er einen guten Rechtsanwalt und nicht die Einschätzung von irgendwelchen Rechtsdilletanten, wie z.B. mir.
p.s. Eine Anfrage bei einer Verbraucherschutzzentrale kommt da noch relativ billig.

 

[johnripper]

Dass UM hier überhaupt angegriffen wird verstehe ich nicht. Die zweite FB ist kein Gerät von UM wieso genau sollen sie für Schäden haften. Alles andere ist doch irrelevant.

Nach der Logik wären sie auch für alle weiteren Geräte wie PC und Smartphones verantwortlich. Oder vielleicht noch für Gebäudeschäden...

Manche Leute ... :fassungslos:

 

[conscience]

Alles sehr gute Argumente für den "Routerzwang" :mussweg:

:kafffee:

 

[johnripper]

Alles sehr gute Argumente für den "Routerzwang" :mussweg:

Was meinst du wohl warum UM/KBW, KabelDeutschland usw. relativ zügig reagiert haben und den Leuten die Kosten erstattet bzw. nicht in Rechnung gestellt haben, solange dies natürlich die eigenen Boxen betraf.

 

[strelnikov]

Man könnte das auch ironisch verstehen (Smilies)


BTW Die Doktrin sind immer wahr.

 

[tq1199]

Bei EX-Kabelbw kommt man nicht mal rann.

Das hat sich inzwischen auch geändert. Ich habe heute ohne Anfrage bzw. ohne Anforderung, von UM folgende eMail bekommen:

Sehr geehrte/r ###########,

zur Einrichtung Ihres Telefonanschlusses über die AVM Fritz!BOX benötigen Sie aktuelle Anmeldedaten.
In den kommenden Tagen erhalten Sie Ihre Anmeldedaten per Post zugestellt.

Sie finden Ihre aktuellen Anmeldedaten auch im Internet. Registrieren Sie sich dazu unter http://www.unitymedia.de/login. Sie finden Ihre Zugangsdaten unter "Meine Produkte".

Mit freundlichen Grüssen,Ihr Unitymedia Team

Ich werde diese Anmeldedaten aber ablehnen bzw. nicht verwenden, da ich die Verantwortung für die IP-Telefonie, auch in Zukunft schon bei UM (... d. h. wegen Zwangsrouter mit nicht aktueller Firmware bzw. teilweise closed source Firmware, beim Provider und so wie in der Vergangenheit, von KabelBW gehandhabt) belassen will.

 

[sebr]

Interessant. Findest du die SIP-Accounts wirklich in deinem Kundencenter? Bei mir (Hessen) wurden die vor einiger Zeit schon aus dem Kundencenter entfernt.
Ich habe die Zugangsdaten erst auf mehrfaches Drängen bekommen und nachdem sich bei einem Reset der Box auf Werkseinstellungen diese nicht wieder von selbst provisioniert hat und wir mehrere Tage ohne Telefon waren.

 

[tq1199]

Interessant. Findest du die SIP-Accounts wirklich in deinem Kundencenter?

Das weiß ich nicht, denn ich habe mich bei UM für den Kundencenter nicht registriert und werde das auch nicht tun.

Ich habe die Zugangsdaten erst auf mehrfaches Drängen bekommen und nachdem sich bei einem Reset der Box auf Werkseinstellungen diese nicht wieder von selbst provisioniert hat und wir mehrere Tage ohne Telefon waren.

Ich, wird sind seit gestern mittag auch ohne Telefon (... nach einem Reset der Box auf Werkseinstellungen, durch die Techniker von UM) und UM will mir jetzt die Zugangsdaten "aufzwingen".

 

[sebr]

Dann ist da wahrscheinlich bei dir auch etwas schiefgelaufen, dass die Box sich nicht automatisch die Rufnummern registriert.
Evtl. hilft es mal eine alte Sicherung zurück zuspielen ?!
Ansonsten Nummern (wenn die Login-Daten angekommen sind) von Hand eintragen. Je nachdem an welchen Mitarbeiter du gerätst bekommst du due Login-Daten auch vorab per Email. Also nicht beim ersten Anruf aufgeben. Ansonsten kannst du dich noch auf ein paar Tage ohne Telefon einstellen. Gibt auch mehrere Threads zu diesem Thema hier im Forum.